Czy moglibyście sprawdzić czy ta konfiguracja firewalla jest poprawnie napisana?
#!/bin/sh
#Wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
#Czyszczenie starych regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#Domyslne reguly
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Oblokowanie petli zwrotnej
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Swobodne działanie sieci lokalnej
ipatbles -A INPUT -i br0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT
iptables -A FORWARD -o br0 -j ACCEPT
#Udostępnianie internetu sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
Wydruk funkcji iptables-save(wydruk brałem z maszyny wirtualnej, z tą różnicą, że zamiast br0 mamy eth1)
# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013
*mangle
:PREROUTING ACCEPT [0]
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [0]
:POSTROUTING ACCEPT [0]
COMMIT
# Completed on Tue Aug 27 18:02:36 2013
# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013
*nat
:PREROUTING ACCEPT [0]
:INPUT ACCEPT [0]
:OUTPUT ACCEPT [0]
:POSTROUTING ACCEPT [0]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Aug 27 18:02:36 2013
# Generated by iptables-save v1.4.14 on Tue Aug 27 18:02:36 2013
*filter
:INPUT DROP [0]
:FORWARD DROP [0]
:OUTPUT DROP [0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Tue Aug 27 18:02:36 2013
W moim komputerze mam zainstalowane trzy fizyczne interfejsy:
-eth0
-erh1
-wlan0.
eth0 ma dostęp do sieci globalnej(przydzielane przez ISP dynamicznie), eth1 i wlan0 są zmostkowane i tworzą nowy interfejs br0 (LAN). Na komputerze działa serwer DHCP oraz serwer Samby.
Wracając do konfiguracji firewalla, komputery widzą siebie nawzajem, pingi lecą we wszystkie strony, działa przydzielanie adresów IP, Samba działa, serwer odrzuca wszystkie pakiety nie pochodzące z lo i br0. System Debian 7.1
Skoro dajesz politykę na DROP, to musisz zezwolić na połączenia nawiązane oraz na połączenia inicjujące. Powinno to wyglądać tak, na przykładzie moich reguł w moim systemie.
Brakuje Ci reguł zaznaczonych na niebiesko. Dopisz jeszcze reguły dla sieci, dla łańcuch przychodzącego oraz łańcucha przekazania (forward) zezwalające na ruch z sieci, które będą przesyłały do niego pakiety, podobnie jak to zaznaczyłem na pomarańczowo.
Przekazywanie pakietów możesz włączyć na stałe w /etc/sysctl.conf.
Teraz akurat muszę wyjść z domu, więc nie mam za bardzo czasu, popraw reguły, a jutro je sprawdzę.
EDIT: Zapomniałem, że już masz reguły zezwalające na ruch przychodzący i przekazywany, w takim razie dodaj jeszcze reguły zaznaczone na niebiesko i powinno działać. Upewnij się również, że masz trasy do wszystkich sieci.
